Dark Reading 網站披露，微軟修復了 Outlook 中存在的零日漏洞，漏洞被追蹤為 CVE-2023-23397，是一個權限提升漏洞，攻擊者可以利用該漏洞訪問受害者的 Net-NTLMv2 響應身份驗證哈希并冒充用戶。安全研究人員警告稱 CVE-2023-23397 非常危險，有望成為近期影響最深遠的漏洞。

CVE-2023-23397 漏洞由烏克蘭計算機應急響應小組（CERT）的研究人員和微軟一名研究人員發現，本周早些時候微軟已經進行了補丁更新。

攻擊者能夠輕松利用漏洞

一旦攻擊者成功利用 CVE-2023-23397 漏洞，便可通過向受害者發送惡意 Outlook 郵件或任務來竊取 NTLM 身份驗證哈希。當 Outlook 客戶端檢索和處理這些郵件時，這些郵件會自動觸發攻擊，可能會在預覽窗格中查看電子郵件之前導致攻擊。換句話說，目標實際上不必打開電子郵件就成為攻擊的受害者。

據悉，漏洞主要影響運行 Exchange 服務器和 Outlook for Windows 桌面客戶端的用戶，Outlook for Android、iOS、Mac 和 Outlook for Web（OWA）等均不受影響。

OcamSec 創始人兼首席執行官 Mark Stamford 表示，潛在的攻擊者可以發送特制的電子郵件，使受害者與攻擊者控制的外部 UNC 位置建立連接，這將使得攻擊者獲得受害者的 Net-NTLMv2 哈希，然后攻擊者將其轉發給另一個服務并作為受害者進行身份驗證。

漏洞存在的一系列潛在影響

Foretrace 創始人兼首席執行官 Nick Ascoli 指出，微軟并沒有提及網絡犯罪分子如何利用 CVE-2023-23397 漏洞，但根據研究來看，通過該漏洞，攻擊者可以不斷重復使用被盜的身份驗證，最終成功盜取數據或安裝惡意軟件。

Viakoo 首席執行官 Bud Broomhead 表示，一些最容易受到商業電子郵件泄露的人可能是潛在受害者。此外， Broomhead 警告稱，一旦漏洞被成功利用，會帶來核心 IT 系統被破壞、分發大量惡意軟件、以及業務運營和業務連續性中斷等安全風險。

CVE-2023-23397 影響巨大

值得一提的是，Broomhead 表示雖然微軟可能每個時期都會出現一些安全漏洞，但 CVE-2023-23397 漏洞無疑是一個有力的“競爭者”。該漏洞幾乎影響到所有類型和規模的實體組織，對員工進行培訓并不能減緩漏洞帶來的影響，所以這可能是一個需要付出更大努力來緩解和補救的漏洞。

Hornetsecurity 首席執行官 Daniel Hofmann 也一直在強調 CVE-2023-23397 漏洞可能帶來巨大危害，畢竟該漏洞已經公開，而且概念驗證的說明已有詳細記錄，其它威脅攻擊者可能會在惡意軟件活動中采用該漏洞，并針對更廣泛的受眾。總的來說，利用該漏洞非常簡單，在 GitHub 和其它開放論壇上已經可以找到公開的概念證明。

如何防范 CVE-2023-23397

對于無法立即進行漏洞修補的用戶，Hofmann 建議管理員應該使用外圍防火墻、本地防火墻和 VPN 設置來阻止 TCP 445/SMB 從網絡到互聯網的出站流量。這一操作可以防止 NTLM 身份驗證消息傳輸到遠程文件共享，有助于解決 CVE-2023-23397 問題。

此外 組織還應將用戶添加到 Active Directory 中的“受保護用戶安全組”，以防止 NTLM 作為身份驗證機制，與其它禁用 NTLM 的方法相比，這種方法簡化了故障排除，對高價值的帳戶特別有用。

參考來源：https://www.darkreading.com/application-security/microsoft-outlook-vulnerability-2023-it-bug